Délibération n° 2023-64 du 19 avril 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion locative », exploité par l'Administration des Domaines, présentée par le Ministre d'État.
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.357 du 19 février 2009 définissant le contrat « habitation-capitalisation » dans le secteur domanial, modifiée ;
Vu l’Ordonnance Souveraine n° 6.317 du 20 mars 2017 portant création de l’Administration des Domaines ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 6.317 du 20 mars 2017 portant création de l’Administration des Domaines ;
Vu l’Ordonnance Souveraine n° 2.249 du 1er juillet 2009 fixant les conditions d’application de la loi n° 1.357 du 19 février 2009 définissant le contrat « habitation-capitalisation » dans le secteur domanial ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la délibération n° 2001-05 du 9 janvier 2001 portant avis sur la mise en œuvre par l’Administration des Domaines d’un traitement automatisé relatif à « la Gestion locative » ;
Vu la demande d’avis déposée par le Ministre d’État, le 19 décembre 2022 concernant la mise en œuvre de la modification du traitement automatisé d’informations nominatives ayant pour finalité la « Gestion locative » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement, le 16 février 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 avril 2023 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
L’Administration des Domaines est chargée, au sein de la Principauté, de la préparation, de la conclusion des baux et de tout autre contrat afférent au domaine de l’État monégasque, ainsi que du recouvrement des loyers, redevances, charges et indemnités qui en résultent.
Par délibération n° 2001-05 du 9 janvier 2001 l’Administration des Domaines avait reçu un avis favorable à la mise en œuvre d’un traitement automatisé ayant pour finalité « la Gestion locative », qu’elle souhaite désormais faire évoluer.
La modification du traitement automatisé d’informations nominatives susvisé est ainsi soumise à l’avis de la Commission, conformément à l’article 9 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion locative ».
Il concerne les locataires et occupants de l’Administration des Domaines, les personnes rattachées au foyer du locataire ainsi que le personnel de l’Administration.
Le présent traitement a pour fonctionnalités :
- gestion des contrats de location (rédaction des contrats, configuration des rubriques de facturation, actualisation des rubriques) ;
- gestion des contrats habitation-capitalisation (CHC) (rédaction des contrats et avenants, configuration des rubriques de facturation, actualisation des rubriques, clôture des contrats) ;
- gestion des dossiers de demandeurs CHC (recueil des demandes, génération de documents en lien avec la demande) ;
- établissement et suivi des correspondances ;
- gestion de la facturation ;
- gestion des contentieux et des plans d’apurement ;
- établissement de statistiques anonymes et de rapports.
La Commission constate qu’il est également effectué un suivi des baux, en analysant la liste hebdomadaire des naissances, mariages et décès de la Commune. Elle en prend acte.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par l’exécution d’un contrat ou de mesures pré-contractuelles avec la personne concernée, ainsi que par la réalisation d’un intérêt légitime qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
Il est ainsi précisé que « Les logements attribués comme décrit dans le traitement y relatif de la Direction de l’Habitat (gestion de l’attribution des logements domaniaux), les logements sous contrat « habitation-capitalisation », sont gérés par l’Administration des Domaines dans le cadre de ses missions ».
À cet égard, la Commission relève que l’article 2 de l’Ordonnance Souveraine n° 6.317 du 20 mars 2017 dispose que « L’Administration des Domaines est chargée :
1°) de la gestion du patrimoine immobilier de l’État ;
2°) de la préparation et de la conclusion des baux, contrats « habitation-capitalisation », conventions d’occupation et autres contrats afférents au domaine de l’État ;
3°) de l’encaissement ainsi que du recouvrement des loyers, redevances, charges, indemnités et, plus généralement, de toutes sommes dues à l’État, sauf dispositions légales ou réglementaires contraires ;
4°) de l’entretien et de la maintenance des immeubles domaniaux à usage privé ;
5°) de la remise en état des appartements domaniaux à usage d’habitation ;
6°) de la conservation et de la valorisation du patrimoine immobilier de l’État ;
7°) de la procédure d’attribution des locaux domaniaux à usage commercial, industriel, de bureau et professionnel ;
8°) de la préparation et de la conclusion des contrats engageant le Trésor ;
9°) de la gestion des achats de fournitures, de matériels et de tous marchés nécessaires au fonctionnement des services exécutifs ;
10°) de l’accomplissement de toutes autres missions à caractère patrimonial qui viendraient à lui être confiées par l’autorité administrative ».
Il est ainsi indiqué que le présent traitement est nécessaire à « l’exécution d’un contrat de location ou d’occupation du domaine public avec les personnes concernées », et qu’il relève ainsi de l’intérêt légitime du responsable de traitement de « mettre en place les actions nécessaires à la gestion du patrimoine immobilier de l’État ».
En outre, la Commission constate que depuis la mise en œuvre du traitement en 2001 a été adoptée la loi n° 1.357 du 19 février 2009 définissant le contrat « habitation-capitalisation » dans le secteur domanial. Celle-ci comprend un article 6 qui dispose qu’« Il appartient au locataire ou à l’attributaire d’un appartement mentionné à l’article 2 de manifester auprès de l’Administration des Domaines son intérêt pour la conclusion d’un contrat « habitation-capitalisation », notamment pour donner suite à l’information mentionnée à l’article précédent », ainsi qu’un article 7 qui précise quant à lui que « Les formalités de signature du contrat « habitation-capitalisation » sont accomplies auprès de l’Administration des Domaines ».
Eu égard à l’ensemble des éléments précités, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées relatives aux usagers (locataire et conjoint, signataires du contrat HC) :
- identité : civilité, nom patronymique, prénom, nom usuel, date et lieu de naissance, sexe, nationalité, numéro(s) de compte locataire ;
- identité du conjoint : civilité, nom patronymique, prénoms, nom usuel, date et lieu de naissance, sexe, nationalité ;
- identité des personnes hébergées : nombre de personnes, nom, prénom, date de naissance, nationalité ;
- situation de famille : marié, veuf, célibataire, vie maritale (concubinage, contrat de vie commune ou PACS) ;
- adresses et coordonnées : adresse, coordonnées téléphoniques, adresse électronique ;
- description du logement : adresse, type, date de début et de fin de location ;
- vie professionnelle : catégorie socio-professionnelle et nom de l’employeur ;
- caractéristiques financières : coordonnées bancaires, montant du loyer ou redevance ;
- mesures à caractère social : perception d’une Aide Nationale au Logement (ANL) et montant ;
- suivi du dossier : historique des baux, comptabilité auxiliaire du locataire, demande des locataires.
La Commission relève l’existence de rubriques en lien avec les dépôts de garantie et les états des lieux. Elle en prend acte.
Les informations relatives à l’identité de la personne concernée, de son conjoint et des personnes hébergées, sa situation de famille, ses coordonnées (adresse et bancaire), ainsi que sa vie professionnelle ont pour origine, soit directement la personne concernée elle-même, soit le traitement exploité par la Direction de l’Habitat (cf. rubrique 6). La Direction de l’Habitat est également à l’origine des informations relatives à l’ANL.
L’Administration des Domaines renseigne le montant du loyer ou de la redevance et le suivi du dossier.
Par ailleurs, les informations nominatives traitées relatives aux parties au contrat d’occupation du domaine public et aux baux commerciaux et à usage de bureau sont :
- identité : civilité, nom patronymique, prénom, nom usuel, date et lieu de naissance, sexe, nationalité, numéro(s) de compte locataire ;
- identification de l’entité partie au contrat : raison sociale, activité ;
- adresses et coordonnées : adresse, coordonnées téléphoniques, adresse électronique ;
- description du local/bien : adresse, type, date de début et de fin de location ;
- caractéristiques financières : coordonnées bancaires, montant du loyer ou redevance ;
- suivi du dossier : historique des baux, comptabilité auxiliaire du locataire, demande des locataires.
Les informations relatives à l’identité, à l’identification de l’entité partie au contrat, aux adresses et coordonnées et aux caractéristiques financières ont pour origine la personne concernée elle-même.
Le montant du loyer ou de la redevance ainsi que le suivi du dossier sont quant à eux saisis par l’Administration des Domaines.
Enfin, les informations nominatives traitées relativement aux agents habilités de l’Administration des Domaines en charge des dossiers sont :
- identité : nom, initiale du prénom, code utilisateur ;
- vie professionnelle : fonction (membre de l’équipe, responsable de l’équipe) ;
- données d’identification électronique : token de la session ;
- log de saisie et de mise à jour des informations : données d’horodatage (dont login) et actions effectuées (saisie et modification) ;
- log de connexion de l’application : données de connexion, données d’horodatage.
Les informations relatives au code utilisateur ainsi qu’aux logs sont produites par le système.
Les autres informations ont pour origine l’Administration des Domaines ou la Direction des Systèmes d’Information.
La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives », au regard de la finalité du traitement, conformément à l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Enfin, il convient de rappeler qu’il était indiqué dans le traitement ayant pour finalité « Gestion dématérialisée des relations entre les locataires et occupants avec l’Administration des Domaines », qui a reçu un avis favorable par délibération° 2021-57, que les copies de cartes d’identité sont stockées au sein du présent traitement de « Gestion locative ».
Or, cette donnée n’apparaît pas dans les informations exploitées. Par complément d’information, il est indiqué que « Le scan est conservé dans [le logiciel] au niveau du Tiers et l’ADOM et la Direction de l’Habitat ont accès à cette même information ». La Commission en prend acte.
IV. Sur les droits des personnes concernées
* Sur l’information préalable des personnes concernées
Les personnes concernées sont informées par le biais :
- d’une mention sur le document de collecte ;
- d’un document spécifique ;
- d’une mention particulière intégrée dans un document d’ordre général accessible en ligne.
À cet égard, il est précisé que pour les usagers « une information sera diffusée sur le site d’information du Gouvernement et un lien vers cette information sera inscrit sur les documents remis aux locataires afin qu’ils puissent en prendre connaissance préalablement à la signature des documents. Cette information est établie en considérant les dispositions de la loi française en matière de protection des données à caractère personnel (loi informatique et libertés) et du RGPD afin de tenir compte des locataires des logements situés sur le territoire français ».
La Commission estime que les documents remis aux futurs locataires doivent contenir une mention initiale conforme aux dispositions de l’article 14, qui peut être explicitée par le renvoi à un lien. Elle demande donc à ce que lesdits documents ne se limitent pas à renvoyer au site Internet.
À la lecture des mentions d’informations jointes au dossier, la Commission constate qu’elles sont conformes aux dispositions légales. Elle relève toutefois que les durées de conservation qui y figurent diffèrent de celles portées au dossier, et demande donc à ce qu’elles soient corrigées.
* Sur l’exercice du droit d’accès
Le droit d’accès est exercé auprès de l’Administration des Domaines (ADOM) par voie postale, par courrier électronique, ou via un accès en ligne à son dossier.
S’agissant de l’exercice du droit d’accès par voie électronique, la Commission rappelle qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.
Sous cette réserve, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
* Sur les destinataires
Le responsable de traitement indique que les informations peuvent être communiquées :
- aux mandataires ou syndics d’immeuble pour le calcul des charges locatives, dans le cadre d’un mandat de gérance (communication par courrier) et pour leur permettre de communiquer avec les occupants dans le cadre de la vie de l’immeuble (liste des occupants des lots/appartements avec civilité-nom-prénom du titulaire principal du contrat, numéro de lot, date de début et de fin d’occupation, email, téléphone) ;
- au Département des Finances et de I ‘Économie :
• pour la justification des résultats de gestion locative à l’autorité de tutelle sous forme de rapports (nom du titulaire principal du compte locataire, numéro de compte, montant des recettes et de reste à recouvrer) ;
• dans le cadre du Contrat Habitation-Capitalisation, I’ADOM demande au Département de vérifier auprès de la DSF les éventuelles propriétés en Principauté du contactant CHC ; cette vérification est faite par la Direction de l’Habitat à l’entrée dans le parc domanial ; la présente vérification permet de vérifier le patrimoine du demandeur à date du CHC, potentiellement quelques années après être entré dans le parc domanial ;
- à la Direction des Services Fiscaux français, en réponse aux campagnes annuelles de vérification des logements vacants et de vérification des taxes foncières à des fins d’identification des occupants des appartements sur le territoire français ; contrôle aléatoire ; en application de l’article 232 du Code général des impôts, sont communiquées les informations relatives à l’identité des occupants ;
- à la Direction de l’Habitat dans le cadre de ses missions (ex. suivi des cautionnements) ;
- à la Direction de l’Expansion Économique en réponse à sa sollicitation afin de vérifier l’accord de I’ADOM (bailleur) lorsqu’une personne souhaite domicilier son activité dans son logement domanial. (Si cette personne était logée dans le privé, elle devrait fournir un acte de son bailleur autorisant la domiciliation) ; communication à la DDE de l’accord de l’ADOM en tant que bailleur ;
- aux avocats des Parties en cas de contentieux.
En complément, l’ADOM adresse des données non nominatives à/au :
- la Direction des Services Fiscaux français, en application des obligations déclaratives des bailleurs ;
- l’administration fiscale française pour les lots localisés en France (référence fiscale des lots non nominatifs) ;
- la Commission Supérieure de Comptes pour la justification des résultats de gestion locative à l’autorité de tutelle (rapports non nominatifs) ;
- Conseil National sur des questions ponctuelles pour les statistiques du parc locatif, sans information nominative ;
- la Commission d’attribution des logements domaniaux pour la liste des lots vacants (pas d’information nominative) ;
- l’IMSEE reçoit des données non nominatives sur l’état du parc pour l’élaboration du Monaco en chiffre.
* Sur les personnes ayant accès au traitement
Il est indiqué que peuvent avoir accès au traitement :
- les personnels de l’Administration des Domaines : tous droits ;
- les personnels habilités de la Direction de l’Habitat : en consultation pour les données relatives à l’état civil en ce qui concerne les baux ;
- le personnel habilité du Département des Finances et de l’Économie : en consultation ;
- les personnels de la Direction des Systèmes d’Information : accès techniques considérant les missions MCS et MCO et les attributions de la DSI ;
- le prestataire qui assure la maintenance applicative en lien avec la DSI : à la demande pour mise à jour, évolution et debug.
Le responsable de traitement précise que « la liste des agents ayant accès au traitement est définie et validée par le service » et les « agents « administrateurs de la solution » sont identifiés nominativement auprès du service ».
En ce qui concerne le prestataire de services, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de services. De plus, ce dernier est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre suivants :
- « Gestion des habilitations et des accès au système d’information », afin de disposer des éléments permettant de créer un compte aux utilisateurs ;
- « Gestion et analyse des évènements du système d’information », afin de veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau ;
- « Gestion de l’attribution des logements domaniaux » de la Direction de l’Habitat, afin de permettre à l’Administration des Domaines de disposer des données permettant d’élaborer le bail et documents associés dans le prolongement de l’attribution du logement ;
- « Gestion des échanges d’appartements au sein du secteur domanial d’habitation », afin de permettre à l’Administration des Domaines de disposer des données permettant d’élaborer le bail et documents associés dans le prolongement d’une procédure d’échange d’appartement validée par la Direction de l’Habitat ;
- « Gestion dématérialisée des relations entre les locataires et occupants avec l’Administration des Domaines », afin de permettre aux usagers de consulter par le biais d’un téléservice leurs informations en lien avec le présent traitement.
Il est également rapproché avec les traitements légalement mis en œuvre suivants :
- « Gestion de la messagerie professionnelle », afin de permettre aux acteurs du traitement de pouvoir échanger, d’afficher et de synchroniser les calendriers, de gérer les contacts si l’utilisateur a paramétré ces options ;
- « Assistance aux utilisateurs par le Centre de Service de la DRSI », afin de permettre à la Direction de l’Habitat de gérer les accès aux traitements, de demander la création d’un compte utilisateur ou de demander sa suspension ou sa suppression, de faire remonter un incident ou une difficulté afin que celui-ci soit remonté aux personnes habilitées à répondre ou à traiter le sujet et de suivre la prise en compte de leur(s) demande(s) ;
- « Gestion des accès dédiés au Système d’information du Gouvernement », afin d’assurer la sécurité des accès au SI par le prestataire habilité ;
- « Gestion des techniques automatisées de État de communication », afin de transférer le fichier des factures et quittances à la cellule éditique de la DSI ;
- « Gestion d’un outil de partage de documents sécurisés avec des partenaires internes et externes à l’Administration monégasque ».
La Commission considère que ces interconnexions et ces rapprochements sont conformes aux exigences légales.
Enfin, elle relève que le responsable de traitement indique que les informations sont susceptibles d’être rapprochées avec le traitement ayant pour finalité « Gestion de l’attribution des locaux commerciaux », afin de disposer des informations des attributaires des locaux pour établir les documents contractuels ad hoc, comme un contrat d’occupation du domaine public ou un bail.
Ce dernier n’ayant pas fait l’objet d’une formalité auprès d’elle, la Commission rappelle que toute interconnexion ou rapprochement ne peut avoir lieu qu’entre des traitements légalement mis en œuvre et demande ainsi qu’il lui soit soumis dans les plus brefs délais.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations nominatives en lien avec les personnes ayant contractualisé avec l’Administration des Domaines sont conservées comme suit :
- en base active : de la conclusion du bail à sa résiliation ; de la conclusion du contrat habitation-capitalisation à sa réalisation ou son terme ; jusqu’à la clôture des comptes du locataire ;
- en archive intermédiaire : trois ans lorsque le bail est en gestion directe ou semi-directe selon la prescription en matière de contrat de bail ; cinq ans, pour une gestion déléguée ou semi-déléguée, le temps de la prescription civile.
Le responsable de traitement précisé qu’en cas de litige, les informations en lien avec celui-ci peuvent être conservées plus longtemps.
En outre, à l’issue des délais de conservation en archive intermédiaire, les informations sont anonymisées « par un tag, appelé « CNIL » par l’éditeur, qui ne permet plus d’avoir accès aux éléments ».
En ce qui concerne les informations nominatives des agents habilités, sont appliquées les durées suivantes :
- 3 mois après le départ de l’agent pour son nom et sa fonction ;
- tant que le dossier de l’usager traité par l’agent est dans le système en ce qui concerne son code utilisateur et ses logs de saisie et de mise à jour des informations ;
- 12 mois glissants pour les logs de connexion ;
- la durée de la session pour les tokens.
La Commission relève que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle :
- qu’une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations ;
- que toute interconnexion ou rapprochement ne peut avoir lieu qu’entre des traitements légalement mis en œuvre ;
- que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Demande que :
- le traitement ayant pour finalité « Gestion de l’attribution des locaux commerciaux » lui soit soumis dans les meilleurs délais ;
- les personnes concernées bénéficient au sein des documents qui leur sont remis, d’une information conforme aux dispositions de l’article 14 de la loi n° 1.165, qui ne peut pas s’effectuer par un lien renvoyant à des mentions figurant uniquement sur un site Internet de l’Administration ;
- les durées de conservation figurant au sein des mentions d’information des personnes concernées soient identiques aux durées mentionnées dans la présente délibération.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la modification, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion locative » exploité par l’Administration des Domaines.
Le Président de la Commission de
Contrôle des Informations Nominatives.